[English]Aktuell ist zu beobachten, dass Phishing-Angriffe immer ausgefeilter werden. Sicherheitsforscher von Barracuda sind auf eine neue Variante zur Gestaltung von Phishing-Nachrichten gestoßen. Diese verwenden QR-Codes aus textbasierten ASCII/Unicode-Zeichen, statt wie üblich aus statischen Bildern erstellt zu werden, um herkömmliche Sicherheitsmaßnahmen zu umgehen.
Anzeige
Textbasierte QR-Code Phishing-Nachrichten und Blog-URIs
Bei Phishing-Mails und -Nachrichten setzen die Absender alles daran, vorhandene Sicherheitslösungen und -Filter zu umgehen. Die Threat-Analysten von Barracuda Networks Inc. sind auf eine neue Generation von Phishing-Angriffen gestoßen.
Die Angreifer arbeiten zwar mit QR-Codes, die die Information zur Weiterleitung auf die Phishing-Zielseite enthalten. Solche Angriffe werden von herkömmlichen Sicherheitsmaßnahmen aber identifiziert und geblockt.
- Die Angreifer generieren die QR-Codes dabei aus textbasierten ASCII/Unicode-Zeichen, statt, wie üblich, den QR-Code aus Bildpunkten zu erstellen.
- Weiterhin wurde die Nutzung von Blob-Universal Resource Identifiers (URIs) zur Erstellung von Phishing-Webseiten, die nur schwer als solche zu erkennen sind, beobachtet.
Aus ASCII/Unicode-Blöcken bestehende QR-Codes sehen in einer E-Mail aus wie herkömmliche QR-Codes. Ein auf Bildscans basierendes Erkennungssystem kann sie jedoch nicht als solche identifizieren. Das bedeutet, dass entsprechende Sicherheits-Tools, die nur auf Bildscans basieren, nicht erkennen können, ob ein schädlicher Link in sie eingebettet ist. Bei näherer Betrachtung dieses QR-Codes (siehe folgendes Bild) kann man zwischen den einzelnen Blöcken eine Linie erkennen. Dies liegt daran, dass es sich bei dem QR-Code um kein Bild handelt.
Phishing-Mail mit QR-Code, Copyright/Quelle: Barracuda Networks
Anzeige
Die Nutzung von Binary Large Objects (Blob)-URIs ermöglicht es Angreifern außerdem, unentdeckt zu bleiben, da ein Blob-URI keine Daten von externen URLs lädt. Dies bedeutet, dass herkömmliche URL-Filter- und Scan-Tools den Inhalt möglicherweise zunächst nicht als schädlich identifizieren können. Da sie dynamisch erstellt werden und schnell verfallen, stellt die Verfolgung und Analyse von Blob-URIs zudem eine Herausforderung dar.
"Die Häufigkeit von QR-Code-Phishing-Angriffen nimmt zu – und da sich auch Sicherheits-Tools entsprechend anpassen, um diese zu erkennen und zu blockieren, nutzen auch die Angreifer neue Methoden", sagt Ashitosh Deshnur, Threat Analyst bei Barracuda. "Bei herkömmlichen QR-Code-Angriffen betten Angreifer schädliche Links in einen QR-Code ein. Sicherheits-Tools scannen das Bild auf bekannte schädliche Links und blockieren sie. Die neue Generation von QR-Code-Phishing-Angriffen versucht, dies zu umgehen, indem sie entweder auf Bildscans basierende Sicherheits-Tools daran hindern, den QR-Code zu lesen, oder indem sie es Erkennungssystemen erschweren, die schädlichen Inhalte zu identifizieren und zu blockieren."
Die Threat-Analysten von Barracuda haben bislang noch keine Fälle identifiziert, bei denen beide Methoden gleichzeitig zum Einsatz kamen. Die dafür verwendeten Methoden werden auf dem Barracuda-Blog beschrieben.
Anzeige
> Das bedeutet, dass entsprechende Sicherheits-Tools, die nur auf Bildscans basieren …
… ihren Job nicht machen.
Hmmm, Texterkennung in Spam-Filtern sucht doch nach Wortmustern, etwa Viagra, Bitcoin, Lottery, Eva-Maria Schaeffler.
Wenn diese neuen QR-Codes aus dem ASCII-Bestand oberhalb von 127 stammen, dann müsste doch ein Text, der massenhaft davon Gebrauch macht, irgendwie filterbar sein.
Denke ich mir in meinem laienhaften Verständnis der Thematik.
In Zeiten von Outlook, wo z.B. "…", ":-)" oder "-" automatisch beim Tippen in Unicode-Zeichen umgewandelt werden ist das nicht mehr so einfach, insbesondere auch bei Sprachen, die ganz andere Zeichensätze verwenden als deutsch- oder englischsprachige Mails …
Das Barracuda-Schlangenöl arbeit schlecht.
Sie müssten jede Email "ausdrucken" und das dann scannen und analysieren um das zu sehen, was der User sieht.
Das ist aufwendig, klar.
Peinlich das das Marketing das nicht merkt.
Filtern könnte man es schon. Der Code ist im HTML eingebunden (schon ein Punkt beim Spamfilterung), auf JavaScript-Token wie "function, document." suchen (noch ein Punkt in der Spamfilterung). Auch "blob:https" könnte man in HTML-Test finden, eventuell auch die Zeichen 'Lower Half Block' (0x2584) und 'Full Block' (0x2588) als Merkmal suchen (noch ein Punkt in der Spamfilterung). Ich sehe da mit regulärer Ausdrücken (Regex) keine Probleme auch diesen Spam zu finden.
Menschen die alle möglichen QR-Codes scannen ohne Rücksicht auf Verluste denen ist eh nicht mehr zu helfen. Ich persönlich habe die Einstellung keine QR-Codes zu scannen weil man bei diesem Verfahren nie weiß was dahinter steckt. Im Prinzip ist ein QR-Code auch nur ein Link zu einer Internetseite. Wenn ich diesen Link im Textformat sehe weiß ich wo die Reise hin geht, beim QR-Code eben nicht und ich kann vorher dubiose Seiten nicht erkennen.
QR-Codes sind ein Sicherheitsrisiko aber viele erkennen das nicht und machen den Hype mit.
Volle Zustimmung,
wer Pünktchen zur Kommunikation verwendet, ist selbst schuld. Dafür wurde mal vor ein paar tausend Jahren die Schrift erfunden um viele zu erreichen, etwas weiterzugeben oder für die Nachwelt zu erhalten – mit wenigen Zeichen! – nur die Chinesen haben's mit zehntausenden "Bildchen" bis heute nicht ganz geschafft – aber keine Sorge: Auch wir entwickeln uns mit hunderten von Emoys flugs weiter zurück.
Den letzten QR-Code hatte ich zur Corona Impfung gescannt.
Den auch nur mit der Privacy Friendly QR-Scanner App vom KIT (Karlsruher Institut für Technologie), Forschungsgruppe Secuso.
Der weiterführende Link wird deutlich gezeigt und muss bestätigt werden.
Es lohnt sich dort etwas zu stöbern.
@nook
Danke. Hier der Link
https://f-droid.org/de/packages/com.secuso.privacyFriendlyCodeScanner/
Dieser Tage kam übrigens ein Schreiben von der Barmer Ersatzkasse, darin ein QR-Code, mittels dessen man (mit der Nummer von der Gesundheitskarte) gegen die ePA Einspruch erheben kann. Keine andere Möglichkeit erwähnt. Was bitte sollen Ältere, die nicht Computer-affin sind, machen? Sich die Hacken ablaufen. Ansonsten, so
die Drohung, automatische Zustimmung. Also, liebe Leute, so geht das nicht.
Falls demnächst die Supermärkte entscheiden sollten, kein Bargeld mehr anzunehmen, muß ich dann verhungern?
sozialverträgliches Frühableben, oder was?
Wir kommen langsam in eine IT-Diktatur, ich denke, in einer Demokratie sollte das Volk schon noch gefragt werden und nicht nur Wirtschaftsinteressen durchgeboxt werden.
in dem Schreiben der Barmer ist garantiert eine 0800er Nummer enthalten. Viel Spaß in der Warteschleife.
und ja. Leider wird der Tag kommen an dem niemand mehr nicht diskriminiert wird, der kein Smartphone hat.
Da ruft man freundlich bei der Barmer an dass man keine Smartphone hat und es auch nicht bei anderen machen kann und will. Die sollen einem ein Schreiben schicken wo man das händisch eintragen kann und es zurückschickt. Wo kämen wir denn da hin wenn die bestimmen wie wir es zu machen haben.
Ist es nicht besser vom Original-App-Store zu installieren als von irgendwelchen Seiten?
https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner&hl=de
Also, der F-Droid Store
(steht für Freies Android) ist nicht irgendeine Seite, sondern ein hoch
angesehener Appstore,
der seit den Anfängen
von Android von den
damaligen Entwicklern
gefördert wurde.
Damals hieß es noch nicht Android, erst etwa 2008 kaufte
Google Herrn Rubin das für'n Appel und n Ei ab und erklärte es
zum eigenen "Betriebs-
system". Der Hauptanteil von Google war die Kommerzialisierung,
die "Freien" arbeiteten
aber bis heute weiter
daran mit. Android war
also von Anfang an ein
offenes System, was man von Apple nicht
behaupten kann.
Anbei ein Link zum
Kuketz-Blog, dort die
"Empfehlungsecke", wo man über die Sprungmarken zu den
Google-Alternativen
u. damit zu F-Droid
kommen kann (es gibt
aber auch einen großen Artikel in der
dt. Wikipedia).
Mike Kuketz arbeitet u.a. beim Datenschutz-
beaufzragten Baden-
Württemberg.
https://www.kuketz-blog.de/empfehlungsecke/#google-alternativen
Nachtrag zu Andy Rubin
https://de.wikipedia.org/wiki/Andy_Rubin?wprov=sfla1
Ja, QR-Codes sind ein Problem, aber die BARMER betreffend steht geschrieben: "Scannen Sie den nebenstehenden QR-Code. Er führt Sie zu einem Online-Formular, wo Sie der elektronischen Patientenakte widersprechen können. …
Alternativ geben Sie Ihren Widerspruch unter http://www.barmer.de/online-antwort ab. Ihr persönlicher Antwort-Code lautet ?????
Dieser sowie der QR-Code sind bis zum 28.02.2025 gültig."
Auch Postanschrift und FAX-Nr. wurden angegeben. Damit entfällt die Warterei am Telefon.
Wenn man Internet hat.
Ansonsten entfällt die Warterei am Telefon nicht, denn man muss ja jemanden darüber informieren, dass man dieses Formular gern in papierhafter Ausfertigung in seinem Briefkasten vorfinden möchte.
Ich kann da Hans' Gedankengang durchaus nachvollziehen. Ich selbst kenne ausreichend Personen, die kein Smartphone haben, sondern ein ganz normales Mobiltelefon mit Tasten. Und Internet zu Hause haben diese Menschen auch nicht.
Mal wieder die armen Rentner. Warum ist denn eigentlich allgemeiner Konsens, dass "Lebenslanges Lernen" mit dem Renteneintritt beendet ist? Und wie lange wollen wir in Deutschland denn noch die Digitalisierng verschlafen weil wir auf die "armen Senioren" warten?
Der Kommentar ist imho doch arg daneben gegangen.
Mir ist kein allgemeiner Konsens bekannt, dass nach dem Renteneintritt "Lebenslanges Lernen" beendet wird. Es mag sein, dass einige Leute damit kokettieren, andere es als billige Ausrede nutzen und das Vorurteil natürlich wunderbar gepflegt werden kann. Nur mal so: Gibt Gesetze zur Teilhabe – und es ist bekannt, dass es mit steigendem Alter kognitive Defizite bei der Mehrzahl der Menschen gibt. Aufgabe von Wirtschaft und Verwaltung ist es – so die aktuelle Gesetzeslage – alle Maßnahmen diskriminierungsfrei umzusetzen.
Und manches ist im höheren Alter auch nicht mehr so wichtig. Hab zwar heute per Radio gelernt, dass auch 80 Jährige noch Tinder nutzen, aber die Masse der Ü50 dürfte da nicht mehr so gierig nach sein – allet Fortschrittsverweigerer?
Zum "wie lange wollen wir in Deutschland denn noch die Digitalisierung verschlafen weil wir auf die "armen Senioren" warten?" Verschlafen wir wirklich die Digitalisierung, weil wir "auf die armen Senioren warten"? Ich hege doch arge Zweifel! Es scheitert doch an allen Ecken und Enden, weil die Protagonisten keinen Plan für nix haben und Geschwafel mit Fortschritt verwechseln.
Kein Mensch hätte was gegen Digitalisierung, wenn diese sicher, funktional zuverlässig, wirtschaftlich und sinnvoll umgesetzt würde. Ich blicke jetzt auf 56 Jahre Berufsleben zurück. Die Elektroinstallationen, die ich ab 1969 als Lehrling montiert habe, kannst Du auch heute noch betreiben – so ganz ohne Updates – und wenn ein Schalter kaputt geht, tauschst Du den einfach aus – ist genormt und funktioniert.
Als Ingenieurstudent habe ich ab 1976 gelernt, dass ich in Berechnungen für Brücken, Stabwerke, Getriebe oder andere Maschinenelemente feste Regeln, Sicherheitsvorschriften und Auslegungsmargen berücksichtigen muss. Hab dann nach dem Ausscheiden aus meinem ersten Job mit großem Erstaunen realisieren müssen, dass meine Konstruktionen von Prüfanlagen für den Flugzeugbau – hielt ich selbst für grottenschlecht – 25 Jahre in der Produktion im Einsatz waren – die Ingenieursregeln, die ich gelernt und angewandt hatte, haben gehalten und einen Betrieb sichergestellt. Ein freier Ingenieur oder Statiker muss für seine Gewerke bis zu 30 Jahre haften.
Die IT habe ich dann (insight) kennen gelernt, als ich an der Schnittstelle der Automatisierungstechnik zur kommerziellen IT tätig war. Hab mir seinerzeit nebenberuflich einige Semester Informatik gegönnt, um die ITler zu verstehen. Ich verstehe zwar die Sprache der ITler, und ich ziehe auch meinen Hut vor Leuten wie Dijkstra, Knuth, Tanenbaum etc. die die Theorie für große Teile der Informatik erarbeitet haben. Aber das, was heute als IT abgeliefert und als Digitalisierung verkauft wird, sehe ich in weiten Teilen (zumindest aus dem Blick des Ingenieurs) als Scharlatanerie an. Es hat vor über 30 Jahren schon regelmäßig geknallt, wenn ich mit den Informatikern zusammen gerasselt bin, die mal eben irgend etwas mit 4G-Generatoren als Lösung schnitzen wollten, was dann aber nie oder höchstens mehr schlecht als recht funktionierte, während ich auf der anderen Stelle dafür verantwortlich war, dass die Steuer- und Regeltechnik sowie die SCADA-System über Dekaden zuverlässig liefen. (Gab von mir konzipierte Systeme, die nach 25 Jahren außer Betrieb gingen). Die Informatiker haben uns diesbezüglich imho in die größte Krise der Technik seit einem Jahrhundert geführt.
Zurück zum Kern: Und nun sollen "die armen Rentner" schuld sein, weil die IT nix in Sachen Digitalisierung auf die Reihe bekommt? Genau mein Humor.
@ Mikel Friess
Da bin ich aber froh, daß Du das mit dem lebenslangen Lernen erkannt hast.
Also, das war seinerzeit
1969, als ich im ersten
Semester an der Uni Münster war, auch unser
Lebensmotto, und wenn Du meine Beiträge hier und vielleicht anderswo
anschaust, dann wirst Du
ja wohl zugeben müssen,
daß das ganz gut geklappt hat. Bin sehr
für kritisches Denken, nur
habe ich bei manchen der
heutigen Studierenden oft den Eindruck, daß da
mehr der Traum vom großen und vor allem
schnellen Geld im Vorder-
grund steht: amerikanische Verhältnisse: sollen wir das wirklich wollen?
Einfach ganze Bevölkerungsgruppen
übelst zu diskriminieren,
was soll das? Du wirst
auch älter, das ist nun mal der Lauf der Dinge,
und wahrscheinlich wirst
Du noch einige Jahre älter als wir, stelle ich mir
nicht besonders lustig vor. Aber vielleicht produziert die momentane Weltuntergangs-
stimmung solch jugend-
lichrs Aufbegehren.
IT ist, wenn's funktioniert
nichts weiter als ein
Werkzeug, ein sehr mächtiges zwar, aber mit
vielen Mißbrauchsmöglichkeiten. Derzeit eher letzteres:
alle veruchen, sie dafür
zu nutzen, noch mehr Geld mit noch weniger
Menschen zu machen:
Banken, Einzelhandel,
Bürokratie. Kategorien
wie Glück und Zufrieden-
heit passen da anscheinend nicht rein.
Alle ein Elon Musk…
Und noch nichtmal der
ist glücklich.
Die Pennsylvania Uni,
an der Musk ja mal
studiert hat (Wirtschaft,
einer meiner Neffen lehrt
dort) rühmt sich ja, die
meisten Milliardäre hervorgebracht zu haben.
Stanford hingegen (wo
dieser und ein weiterer
Neffe studiert haben) gibt
damit an, die meisten
Nobelpreisträger produziert zu haben.
Einer von den Dreien ist
im Computerbusiness
in San Francisco.
Das Right of Happiness
steht in der amerikanischen Verfassung. Ob sie's schaffen? Glücklich zu sein?
> Im Prinzip ist ein QR-Code auch nur ein Link zu einer Internetseite
QR-Codes sind eine andere Darstellung für reinen Text, dieser kann dann je nach Interpretation Links, Email-Adressen darstellen oder auch andere Informationen enthalten, z.B. Kontaktinformationen (Visitenkarten). Oder die Zugangsdaten zu einem WLAN …
> QR-Codes sind ein Sicherheitsrisiko aber viele erkennen das nicht
> und machen den Hype mit.
QR-Codes, die Links enthalten, sind genau das gleiche Sicherheitsrisiko wie andere Links auch.
Das Sicherheitsrisiko sind die Äpps, die solche Links nach dem Scannen ohne Rückfrage aufrufen.
also ich lese die Codes regelmäßig. Nutze dazu seit Jahren die "Cognex Barcode Scanner" App. Die zeigt das gelesene dann an. Ob es dann ein Link, ein Text, eine vCard oder sonst was ist sieht man dann. Und dann entscheide ich noch immer ob ich einem Link folge oder den Link nur kopiere und Teile davon nutze.
QR-Codes sind wie Barcodes in der Industrie seit Jahrzehnten nicht mehr wegzudenken.
Wobei ich noch nie einen Barcode in Mails genutzt habe. Nur auf Papier, Metall, usw.
Die bauen den QR Code nicht aus "Text" Zeichen zusammeb, wie oben der Eindruck erweckt wird, sondern verwenden die altbekannten sog. "Semigrafik". Das lese ich aus dem Original Beitrag.
Die Beschreibung oben klingt z.Zt. nach sog. ASCII-Art.
Da werden Bilder aus den unteren 128 druckbaren Textzeichen gerendert. Ausgedruckt und aus der Ferne betrachtet gibt es ein pixeliges Bild.
Es ist ein bedauerlicher Trend, das Überschriften mehrdeutig bis falsch gewählt werden um User Neugierig zu machen den Text zu lesen. Das lief früher anders. Schade das auch hier beobachten zu müssen.
Im Original Artikel steht nichts von "textbasiert".
Dort steht Klipp und Klar "Acsii Block Zeichen".
Das was man als "Semigrafik" aus Urzeiten kennt, aber auch Teil des ASCII Zeichensatzes…aber evend genau kein Text.
Was soll es Leser so in die Irre zuführen?
mal sehen ob dieser Text die Moderation durchsteht.
Acsii Block Zeichen sind eine textbasierte Darstellungsart.
Alles bestens.
Hast Du heute Morgen versehentlichen koffeinfreien Kaffee gehabt? Atme mal locker durch. ASCII ist Text. Schon immer. Und damit stimmt alles, auch wenn so ein halber oder ganzer Block nicht wie ein Text aussieht.
Das ist die Rückkehr der Blockgrafik, wie seinst auf den 8-Bit-Heimcomputern von Commodore, Atari, Sinclair ud vielen anderen Herstellern üblich war. Die vernehrte Verwendung von ASCII-Zeichen für schwarzen und weißen Block müsste man doch in einem Spamfiltzer erkennen können.
Das gehört halt zu den vielen Problemen welche durch MIME EMail entstehen. Ist nur eine weitere Variante Inhalt zu verstecken.
Wir haben vor ein paar Tagen auch vermehrt Mails bekommen, die "vermutlich" alle einen QR-Code eingebunden hatten.
Bei fast allen war aber das Nachladen von Inhalten blockiert und somit war die Mail eine fast leere Seite.
Bis auf den einen Mitarbeiter.
Aber er war so geistesgegenwärtig, nichts zu machen und die Mail als Spam zu melden.
Will sagen, dass das Nachladen von Inhalten zu unterbinden einen riesigen Sicherheitsgewinn darstellt.
Die Sicherheitssoftware müsste doch nur auf die Screenshots von Recall zugreifen :-b